情報セキュリティ細則~テンプレート~

IPO・バリュエーション

ここでは情報セキュリティ細則のテンプレートを提示します。
情報セキュリティ基本方針、情報セキュリティ規程に紐づくものです。

関連規程はこちら↓になります。

スポンサーリンク
スポンサーリンク

第1章 総則

(目的)
第1条
本細則は、別に定める「情報セキュリティ規程」に基づく情報セキュリティマネジメントシステムの導入、実施、維持及び改善を行うための必要な管理策を定め、一層の徹底を図ることを目的とする。

(適用範囲)
第2条
本細則の適用範囲は、「ISMS適用範囲」に別に定める。

(改 廃)
第3条
本細則の改廃は、情報セキュリティ管掌部門担当取締役の決裁による

スポンサーリンク

第2章 用語及び定義

(用語及び定義)
第4条
本細則で掲げる用語及び定義は、以下による。

① 資産
組織にとって価値をもつもの。

② 管理策
リスクを管理する手段(方針、手順、指針、実践又は組織構造を含む)であり、実務管理的、技術的、経営的又は法的な性質をもつことがあるもの。

③ 指針
方針の中に設定された目標を達成するためになすべきこと及びその方法を明らかにした記述。

④ 情報処理施設(情報処理設備)
情報処理のシステム、サービス若しくは基盤のいかなるもの、又はそれらを収容する物理的場所。

⑤ 情報セキュリティ
情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めてもよい。

⑥ 情報セキュリティ事象
システム、サービス又はネットワークにおける特定の状態の発生。特定の状態とは、情報セキュリティ基本方針への違反若しくは管理策の不具合の可能性、又はセキュリティに関連するかもしれない未知の状況を示していることをいう。

⑦ 情報セキュリティインシデント
望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。

⑧ 方針
経営陣が正式に表明した包括的な意思及び方向付け。

⑨ リスク
事象の発生確率と事象の結果との組合せ。

⑩ リスク分析
リスク因子を特定するための、及びリスクを算定するための情報の系統的使用。

⑪ リスクアセスメント
リスク分析からリスク評価までのすべてのプロセス。

⑫ リスク評価
リスクの重大さを決定するために、算定されたリスクを与えられたリスク基準と比較するプロセス。

⑬ リスクマネジメント
リスクに関して組織を指揮し管理する調整された活動。
リスクマネジメントは一般にリスクアセスメント、リスク対応、リスクの受容及びリスクコミュニケーションを含む。

⑭ リスク対応
リスクを変更させるための方策を、選択及び実施するプロセス。

⑮ 第三者
当該問題に対して、当事者と無関係であると認められる個人又は団体。

⑯ 脅威
システム又は組織に損害を与える可能性があるインシデントの潜在的な原因。

⑰ ぜい弱性
一つ以上の脅威がつけ込むことができる、資産又は資産グループがもつ弱点。

スポンサーリンク

第3章 引用規格

(引用規格)
第5条
本細則は、「JIS Q 27001:2006」の規格における附属書Aの、管理目的及び管理策を引用し、必要な管理目的及び管理策を選択している。

第4章 リスクアセスメント及びリスク対応

(リスクアセスメント及びリスク対応)
第6条
本細則における管理策は、情報セキュリティ規程に基づくリスクアセスメント及びリスク対応の結果により定めるものである。

第5章 セキュリティ基本方針

(情報セキュリティ基本方針)
第7条
① 情報セキュリティ基本方針は、情報セキュリティ委員会により協議され、代表取締役が承認する。

② 情報セキュリティ基本方針は、社内イントラにて全社員に公表するとともに、当社ホームページにて社外に公表する。

③ 情報セキュリティ基本方針及び本規程は、年1回以上、又は重大な変化が発生した場合に、それが引き続き適切、妥当及び有効であることを確実にするために、レビューする。

第6章 情報セキュリティのための組織

(内部組織)
第8条
① 経営陣は、情報セキュリティの責任に関する明りょうな方向付け、自らの関与の明示、責任の明確な割当て及び承認を通して、組織内におけるセキュリティを積極的に支持する。組織の保有する資産の取扱に責任を持ち、情報セキュリティの方向性を提言できるだけの情報セキュリティに関する理解と実行力を持った組織として、情報セキュリティ委員会を設置する。

② 情報セキュリティ活動は、組織の中の、関連する役割及び職務機能をもつ様々な部署の代表が、調整する。

③ すべての情報セキュリティ責任を以下に定める

情報セキュリティ管理責任者:情報セキュリティ管掌部門担当役員

  • 代表取締役の方針に従って、情報セキュリティポリシーの統括管理を行う。
  • 情報セキュリティポリシーの運用状況、改善案、その他情報セキュリティ管理責任者が必要と判断した事項を、情報セキュリティ委員会に諮る。
  • 情報セキュリティ維持のため、必要に応じ緊急措置を行う。
  • 代表取締役の指示並びに「情報セキュリティ規程」に基づき、ISMSを構築し、周知徹底、遵守等の措置を実践する責任及び権限を負う。

情報セキュリティ委員長:システム管掌部門 責任者

  • 情報セキュリティ委員会委員長として情報セキュリティ委員会を開催する。

情報セキュリティ外部窓口担当:総務管掌部門 責任者

  • 情報セキュリティ管理責任者の指示に従い、行政機関、規制機関、関係会社、メディア等外部組織との報告・連絡体制における窓口としての役割を担う。

情報セキュリティ企画・推進担当:情報セキュリティ管掌部門 責任者

  • 情報セキュリティの運営・遵守状況を運用担当から報告を受け、情報セキュリティ管理責任者に報告する。
  • 情報セキュリティを維持するため、「情報セキュリティ基本方針」「情報セキュリティ規程」他のISMS文書の作成・改訂を行う。
  • 情報セキュリティに関する情報を収集し、必要に応じて運用担当に対策検討を指示する。

情報セキュリティ部門管理責任者(情報セキュリティ運用担当):各部門の部門長

  • 情報セキュリティの運営・遵守状況をモニタリングし、企画・推進担当に報告する。
  • 企画・推進担当からの情報セキュリティに関する情報に対し、調査・検討を行い、必要に応じて情報セキュリティ対策を実施する。
  • 教育担当の指示を受け、本細則の適用対象者に対する教育訓練の実施とその状況を教育担当に報告する。
  • 内部監査の改善指示を受け、所要の改善措置の内容を監査担当に報告する。

情報セキュリティ教育担当:人事管掌部門 担当者

  • 情報セキュリティの教育・訓練の計画策定と実施を行う。

情報セキュリティ監査責任者:経営管理管掌部門 責任者

  • 情報セキュリティ監査細則に従い監査計画を作成し、情報セキュリティの実施状況について、モニタリングを行う。
  • 監査報告書を取りまとめ代表取締役に報告する。不適合があった場合は、代表取締役は情報セキュリティ 管理責任者を通じ、被監査部門に対して改善指示を行う。
  • 内部監査担当を任命し、内部監査の実施を指示する。

内部監査担当:内部監査教育受講者

  • 内部監査の実施を担当する。
  • 内部監査の教育を受講し、合格した人。

情報セキュリティ委員:各部より選出

  • 企画推進担当と共に、各部のISMS運用推進を行う。
  • ISMS運用状況の協議、セキュリティ管理責任者からの検討事項を協議等。

④ 新しい情報処理設備に対する経営陣による認可プロセスは、別に定める「稟議規程」に従い、実施する。

⑤ 情報保護に対する組織の必要を反映する秘密保持契約又は守秘義務契約のための要求事項は、特定し、定めに従ってレビューする。

⑥ 関係当局との適切な連絡体制を維持する。

⑦ 情報セキュリティに関する研究会又は会議、及び情報セキュリティの専門家による協会・団体との適切な連絡体制を維持する。

⑧ 情報セキュリティ及びその実施のマネジメントに対する組織の取り組み(例えば、情報セキュリティのための管理目的、管理策、方針、プロセス、手順)について、あらかじめ計画した間隔で、又はセキュリティの実施に重大な変化が生じた場合に、独立したレビューを実施する。

第9条
① 外部組織が関わる業務プロセスからの、組織の情報及び情報処理施設に対するリスクを識別し、外部組織にアクセスを許可する前に適切な管理策を実施する。

② 顧客に組織の情報又は資産へのアクセスを許す前に、明確にしたすべてのセキュリティ要求事項を満たすように対処する。

③ 組織の情報若しくは情報処理施設が関係するアクセス・処理・通信・管理に関わる第三者との契約、又は情報処理施設に製品・サービスを追加する第三者との契約は、関連するすべてのセキュリティ要求事項を取り上げる。

第7章 資産の管理

(資産に対する責任)
第10条
① すべての資産は、明確に識別し、また、重要な資産すべての目録を「情報資産管理台帳」に作成し維持する。

② 情報及び情報処理施設と関連する資産のすべてについて、組織の中に、その管理責任者を指定し、「情報資産管理台帳」に明確にする。

③ 情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則は、「情報資産管理台帳」に定め、実施する。

(情報の分類)
第11条
① 情報は、組織に対しての価値、法的要求事項、取扱いに慎重を要する度合い及び重要性の観点から分類する。

② 情報に対するラベル付け及び取扱いに関する適切な一連の手順を「運用管理手順書」に定め、実施する。

第8章 人的資源のセキュリティ

(雇用前)
第12条
① 従業員、契約相手及び第三者の利用者のセキュリティの役割及び責任は、情報セキュリティ基本方針に従って「秘密保持契約書」及び「誓約書」に定義する。

② 従業員、契約相手及び第三者の利用者のすべての候補者についての経歴などの確認は、関連のある法令、規制及び倫理に従って行う。またこの確認は、事業上の要求事項、アクセスされる情報の分類及び認識されたリスクに応じて行う。

③ 従業員、契約相手及び第三者の利用者は、契約上の義務の一部として、情報セキュリティに関する、これらの者の責任及び組織の責任を記載した「秘密保持契約書」又は「誓約書」に同意し、署名する。

(雇用期間中)
第13条
① 経営陣は、組織の確立された方針及び手順に従ったセキュリティの適用を従業員、契約相手及び第三者の利用者に要求する。

② 組織のすべての従業員、並びに、関係するならば、契約相手及び第三者の利用者は、職務に関連する組織の方針及び手順についての適切な意識向上のための教育・訓練を受けなければならない。又、定期的に、この方針及び手順の更新に応じた更新教育を行う。

③ セキュリティ違反を犯した従業員に対する正式な懲戒手続を雇用タイプ別の「就業規程」に定める。

(雇用の終了又は変更)
第14条
① 雇用の終了又は変更の実施に対する責任は、管理監督者は人事管掌部門責任者、一般従業員は各部部門責任者が担う。

② すべての従業員、契約相手及び第三者の利用者は、雇用、契約又は合意の終了時に、自らが所持する組織の資産すべてを返却する。

③ すべての従業員、契約相手及び第三者の利用者の情報及び情報処理施設に対するアクセス権は、雇用、契約又は合意の終了時に削除、または変更に合わせた修正を行う。

第9章 物理的及び環境的セキュリティ

(セキュリティを保つべき領域)
第15条
① 情報及び情報処理施設のある領域を保護するために、物理的セキュリティ境界(例えば、壁、カード制御による入り口、有人の受付)を用いる。

② セキュリティの保つべき領域は、認可された者だけにアクセスを許すことを確実にするために、適切な入退管理策によって保護する措置を講じる。

③ オフィス、部屋及び施設に対する物理的セキュリティを設計し、適用する。

④ 火災、洪水、地震、爆発、暴力行為及びその他の自然災害又は人的災害による被害からの物理的な保護を設計し、適用する。

⑤ セキュリティを保つべき領域での作業に関する物理的な保護及び指針を設計し、適用する。

⑥ 一般の人が立寄る場所(例えば、荷物などの受渡場所)、及び敷地内の許可されていない者が立ち入ることもある場所は、管理する。可能な場合には、許可されていないアクセスを避けるために管理し、その場所を情報処理施設から離す。

(装置のセキュリティ)
第16条
① 装置は、環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機会を低減するように設置し、又は保護する措置を講じる。

② 装置は、サポートユーティリティの不具合による、停電、その他の故障から保護する措置を講じる。

③ データを伝送する又は情報サービスをサポートする通信ケーブル及び電源ケーブルの配線は、傍受又は損傷から保護する措置を講じる。

④ 装置は、可用性及び完全性を継続的に維持することを確実とするために、正しく保守する。

⑤ 構外にある装置に対しては、構外での作業に伴った、構内での作業とは異なるリスクを考慮に入れて、セキュリティを適用する。

⑥ 記憶媒体を内蔵した装置は、処分する前に、取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去する。又は問題が起きないように上書きしていることを確実にするために、すべてを点検する。

⑦ 装置、情報又はソフトウェアは、事前の許可なしでは、構外に持ち出してはならない。

第10章 通信及び運用管理

(運用の手順及び責任)
第17条
① 操作手順は、文書化し、維持し、必要とするすべての利用者に対して利用可能にする。

② 情報処理設備及びシステムの変更は、管理する。

③ 職務及び責任範囲は、組織の資産に対する、認可されていない若しくは意図しない変更又は不正利用の危険性を低減するために、分割する。

(第三者が提供するサービスの管理)
第18条
① 第三者が提供するサービスに関する合意に含まれる、セキュリティ管理策、サービスの定義、及び提供サービスレベルが、第三者によって実施、運用、維持されることを確実にする。

② 第三者が提供するサービス、報告及び記録は常に監視し、レビューする。また、必要に応じて監査を実施する。

③ 関連する業務システム及び業務プロセスの重要性、並びにリスクの再評価を考慮して、現行の情報セキュリティ方針、手順及び管理策の保守・改善を含むサービス提供の変更を管理する。

(システムの計画作成及び受け入れ)
第19条
① 要求されたシステム性能を満たすことを確実にするために、資源の利用を監視。調整し、また、将来必要とする容量・能力を予測する。

② 新しい情報システム、及びその改訂版・更新版の受入れ基準を「運用管理手順書」に定め、また、開発中及びその受入れ前に適切なシステム試験を実施する。

(悪意のあるコード及びモバイルコードからの保護)
第20条
① 悪意のあるコードから保護するために、検出、予防及び回復のための管理策、並びに利用者に適切に意識させるための手順を「運用管理手順書」に定め、実施する。 

② モバイルコードの使用を認可する場合、認可されたモバイルコードが明確に定められたセキュリティ方針に従って動作することを確実にする環境設定を行う。また、認可されていないモバイルコードは実行できないようにする。

(バックアップ)
第21条
情報及びソフトウェアのバックアップは、合意されたバックアップ方針に従って定期的に取得し、検査する。

(ネットワークセキュリティ管理)
第22条
① ネットワークを脅威から保護するため、また、ネットワークを用いた業務用システム及び業務用ソフトウェア(処理中の情報を含む)のセキュリティを維持するために、ネットワークを適切に管理し、制御する。

② すべてのネットワークサービス(組織が自ら提供するか外部委託しているかを問わない)について、セキュリティ特性、サービスレベル及び管理上の要求事項を特定し、また、いかなるネットワークサービス合意書にもこれらを盛り込む。

(媒体の取扱い)
第23条
① 取外し可能な媒体の管理のための手順を「運用管理手順書」に定める。

② 不要になった媒体の処分は「運用管理手順書」に基づき実施し、セキュリティを保ち、かつ、安全に処分する。

③ 情報の取扱い及び保管についての手順を「運用管理手順書」に定め、その情報を認可されていない開示又は不正使用から保護する。

④ システム文書は、認可されていないアクセスから保護する。

(情報の交換)
第24条
① あらゆる形式の通信設備を利用した情報交換を保護するために、正式な交換方針、手順を「運用管理手順書」に定め、必要な措置を講じる。

② 組織と外部組織との間の情報及びソフトウェアの交換については、必要に応じて両者間での合意をとる。

③ 情報を格納した媒体は、組織の物理的境界を越えた配送の途中における、認可されていないアクセス、不正使用又は破損から保護する措置を講じる。

④ 電子メール等の電子的メッセージ通信に含まれた情報は、「運用管理手順書」に基づき、適切に保護する措置を講じる。

⑤ 業務用情報システムの相互接続と関連がある情報を保護するために、個別方針及び手順を「運用管理手順書」に定め、実施する。

(電子商取引サービス)
第25条
① 公衆ネットワークを経由する電子商取引に含まれる情報は、不正行為、契約紛争、認可されていない開示及び改ざんから保護する措置を講じる。

② オンライン取引に含まれる情報は、不完全な通信、誤った通信経路設定、認可されていないメッセージの変更、認可されていない開示、認可されていない複製又は再生を未然に防止するために、保護する措置を講じる。

③ 認可されていない変更を防止するために、公開システム上で利用可能な情報の完全性を保護する措置を講じる。

(監視)
第26条
① 利用者の活動、例外処理及びセキュリティ事象を記録した監査ログを取得し、将来の調査及びアクセス制御の監視を補うために、合意された期間、保持する。

② 情報処理設備の使用状況を監視する手順を「運用管理手順書」に定め、監視活動の結果をレビューする。

③ ログ機能及びログ情報は改ざん及び認可されていないアクセスから保護する措置を講じる。

④ システムの実務管理者及び運用担当者の作業は記録する。

⑤ 障害ログを取得し、分析し、また、障害に対する適切な処置を講じる。

⑥ 組織又はセキュリティ領域内のすべての情報処理システム内のクロックは、合意された正確な時刻源と同期させる。

第11章 アクセス制御

(アクセス制御に対する業務上の要求事項)
第27条
① 情報への無許可のアクセスを防止するため、以下のアクセス制御方針に従いアクセスを制御する。

  1. 外部からのリモートアクセスに関する制限:外部からリモートアクセスでネットワークを利用する際は、利用者所属部門長の承認を得て、システム管掌部門がコールバックやID・パスワードなど必要なセキュリティ対策を講じる。
  2. 通信機器によるアクセス制御:ファイヤーウォールやルータなど通信機器によるIPアドレス透過制御機能などによりアクセス制御を行う。
  3. 情報システム利用者に対するアクセス制御:情報システムの利用者毎にアクセス制御を行う措置はシステム設計の際に次の項目を考慮し、決定する。情報システム、機能単位、情報単位毎に利用資格の確認機能を設け、無資格者による不正アクセス・不正利用をガードする。
  4. 緊急時など目的に応じたアクセス制御:情報システムの特殊性や障害時など必要に応じてアクセス制御を行う。尚、他部門や他セグメントなど社内利用ネットワークに影響をきたす場合は、システム管掌部門と協議のうえ実施する。

(利用者アクセスの管理)
第28条
① すべての情報システム及びサービスへのアクセスを許可及び無効とするために、利用者の登録・登録削除についての手順を「運用管理手順書」に定める。

② 特権の割当て及び使用は、制限し管理する。

③ パスワードの割当ては、「運用管理手順書」に基づき管理する。

④ 管理者は、「運用管理手順書」に基づき、利用者のアクセス権を定められた間隔でレビューする。

(利用者の責任)
第29条
① パスワードの選択及び使用時に、正しいセキュリティ慣行に従うことを、利用者に指示徹底する。
② 利用者は、無人状態にある装置が適切な保護対策を備えていることを確実にする。
③ 書類及び取外し可能な記憶媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を以下のように定め、適用する。

  1. 離席時や帰宅時における、机上やその他の場所への情報資産の放置を禁止する。
  2. 情報資産は、帰宅時に施錠可能なキャビネット等へ収納する。
  3. 離席時には、パスワードで保護されたスクリーンセーバ、ファイルセキュリティシステムによる画面のロックやログオフを徹底し、他人による情報システムへのアクセスを防止するための措置を講じる。

(ネットワークのアクセス制御)
第30条
① 利用することを特別に認可したサービスへのアクセスだけを、利用者に提供するための措置を講じる。

② 遠隔利用者のアクセスを管理するために、適切な認証方法を利用する。

③ 診断用及び環境設定用ポートへの物理的及び論理的なアクセスは、制御する。

④ 情報サービス、利用者及び情報システムは、ネットワーク上、グループごとに分割する。

⑤コンピュータの接続及び情報の流れが業務用ソフトウェアのアクセス制御方針に違反しないことを確実にするために、ルーティング制御の管理策をネットワークに対して実施する。

⑥ 共有ネットワーク、特に、組織の境界を越えて広がっているネットワークについて、アクセス制御方針及び業務用ソフトウェアの要求事項に沿って、利用者のネットワーク接続能力を制限する。

(オペレーティングシステムのアクセス制御)
第31条
① オペレーティングシステムへのアクセスは、セキュリティに配慮したログオン手順によって制御する。

② すべての利用者は、各個人の利用ごとに一意な識別子(利用者ID)を保有する。また、利用者が主張する同一性を検証するために、適切な認証技術を選択する。

③ パスワードを管理するシステムは、対話式で、かつ良質なパスワードを確実にするものでなければならない。

④ システム及び業務用ソフトウェアによる制御を無効にすることのできるユーティリティプログラムの使用は制限し、厳しく管理する。

⑤ 一定の使用中断時間が経過したときは、使用が中断しているセッションを遮断させる処置を講ずる。

⑥ リスクの高い業務用ソフトウェアに対しては、更なるセキュリティを提供するために、接続時間の制限を利用する。

(業務用ソフトウェア及び情報のアクセス制御)
第32条
① 利用者及びサポート要員による情報及び業務用ソフトウェアシステム機能へのアクセスは、アクセス制御方針に従って、制限する。

② 取扱いに慎重を要するシステムは、専用の、又は隔離されたコンピュータ環境に設置する。

(モバイルコンピューティング及びテレワーキング)
第33条
① モバイルコンピューティング設備・通信設備を用いた場合のリスクから保護するために、「運用管理手順書」を定め、適切なセキュリティ対策を講じる。

② テレワーキングのための方針、運用計画及び手順を「運用管理手順書」に定め、実施する。

第12章 情報システムの取得、開発及び保守

(情報システムのセキュリティ要求事項)
第34条
新しい情報システム又は既存の情報システムの改善に関する業務上の要求事項を記述した文書では、セキュリティの管理策についての要求事項を仕様化する。

(業務用ソフトウェアでの正確な処理)
第35条
① 業務用ソフトウェアに入力するデータは、正確で適切であることを確実にするために、その妥当性を確認する。

② 処理の誤り又は故意の行為によって発生する情報の破壊を検出するために、妥当性確認の機能を業務用ソフトウェアに組込む。

③ 業務用ソフトウェアの真正性を確実にするための要求事項及びメッセージの完全性を保護するための要求事項を特定し、また、適切な管理策を特定し、実施する。

④ 業務用ソフトウェアからの出力データは、保存する情報の処理が正しく、かつ、状況に対して適切であることを確実にするために、その妥当性を確認する。

(暗号による管理策)
第36条
情報を保護するための暗号による管理策の利用に関する方針を「運用管理手順書」に定め、実施する。

(システムファイルのセキュリティ)
第37条
① 運用システムにかかわるソフトウェアの導入を管理するための手順を「運用管理手順書」に定める。

② 試験データは、注意深く選択し、保護し、管理する。

③ プログラムソースコードへのアクセスは、制限する。

(開発及びサポートプロセスにおけるセキュリティ)
第38条
① 変更の実施は、「運用管理手順書」に定めた正式な変更管理手順の使用によって、管理する。

② オペレーティングシステムを変更するときは、組織の運用又はセキュリティに悪影響がないことを確実にするために、重要な業務用ソフトウェアをレビューし、試験を実施する。

③ パッケージソフトウェアの変更は抑止し、必要な変更だけに限る。また、すべての変更は、厳重に管理する。

④ 情報漏えいの可能性を抑止するための対策を講じる。

⑤ 外部委託したソフトウェア開発は監督し、監視する。

(技術的ぜい弱性管理)
第39条
利用中の情報システムの技術的ぜい弱性に関する情報は、時機を失せずに獲得し、そのようなぜい弱性にさらされている状況を評価する。さらに、それらと関連するリスクに対処するために、適切な手段を講じる。

第13章 情報セキュリティインシデントの管理

(情報セキュリティの事象及び弱点の報告)
第40条
① 情報セキュリティ事象は、適切な管理者への連絡経路を通して、できるだけすみやかに報告する。これらの手順は「障害管理手順書」に定める

② すべての従業員、契約相手並びに第三者の情報システム及びサービスの利用者は、システム又はサービスのなかで発見した又は疑いをもったセキュリティ弱点を、どのようなものでも記録し、また報告する。これらの手順は「障害管理手順書」に定める。

(情報セキュリティインシデントの管理及びその改善)
第41条
①情報セキュリティインシデントに対する迅速、効果的で整然とした対応を確実にするために、責任体制及び手順を「障害管理手順書」に定める。

②情報セキュリティインシデントの形態、規模及び費用を定量化し監視できるようにする仕組みを備える。

③情報セキュリティインシデント後の個人又は組織への事後処置が法的処置(民事又は刑事)に及ぶ場合には、関係する法域で定めている証拠に関する規則に従うために、証拠を収集、保全及び提出する。

第14章 事業継続管理

(事業継続管理における情報セキュリティの側面)
第42条
① 組織全体を通じた事業継続のために、組織の事業継続に必要な情報セキュリティの要求事項を取り扱う、管理された手続きを「事業継続管理手順」に定め、維持する。

② 業務プロセスの中断を引き起こし得る事象は、そのような中断の発生確率及び影響、並びに中断が情報セキュリティに及ぼす結果とともに、特定する。

③重要な業務プロセスの中断又は不具合発生の後、運用を維持又は復旧するために、また、要求されたレベル及び時間内での情報の可用性を確実にするために、計画を策定し、実施する。

④ すべての計画が整合したものになることを確実にするため、情報セキュリティ上の要求事項を矛盾なく取り扱うため、また、試験及び保守の優先順位を特定するために、一つの事業継続計画の枠組みを維持する。

⑤ 事業継続計画は、最新で効果的なものであることを確実にするために、「事業継続管理手順」に従って、試験し、更新する。

第15章 順守

(法的要求事項の順守)
第43条
① 各情報システム及び組織について、すべての関連する法令、規制及び契約上の要求事項、並びにこれらの要求事項を満たすための組織の取組み方を「法的要求事項への適合」に定め、また最新に保つ。

② 知的財産権が存在する可能性のあるものを利用するとき、及び権利関係のあるソフトウェア製品を利用するときは、法令、規制及び契約上の要求事項の順守を確実にするための適切な手順を「運用管理手順書」に定め、実施する。

③ 重要な記録は、法令、規制、契約及び事業上の要求事項に従って、消失、破壊及び改ざんから保護する。

④ 個人データ及び個人情報の保護は、関連する法令、規制、及び適用がある場合には、契約条項の中の要求に従って確実にする。

⑤ 認可されていない目的のための情報処理施設の利用を阻止するための管理策を講じる。

(セキュリティ方針及び標準の順守、並びに技術的順守)
第44条
① 管理者は、セキュリティ方針及び標準類への順守を達成するために、自分の責任範囲におけるすべてのセキュリティ手順が正しく実行されることを確実にする。

② 情報システムを、セキュリティ実施標準の順守に関して、点検する。

(情報システムの監査に対する考慮事項)
第45条
運用システムの点検を伴う監査要求事項及び活動は、業務プロセスの中断のリスクを最小限に抑えるために、慎重に計画し、合意を得る。

附則

本細則はYYYY年MM月DD日より施行する。

以上

コメント

タイトルとURLをコピーしました